На официальном блоге «Лаборатории Касперского» появилась информация о взаимодействии с CrowdStrike Intelligence Team, Honeynet Project и Dell SecureWorks с целью предотвращения деятельности и распространения нового ботнета Kelihos.В. Компании совместными усилиями развернули глобальную Р2Р-сеть подконтрольных хостов и 21 марта 2012 года инициировали синхронизированный процесс распространения ее IP-адреса. В течение суток «популярность» ловушки резко выросла, и количество клюнувших на уловку ПК увеличилось в несколько раз. По прошествии шести дней число находящихся в ловушке ботов достигло 116 тыс. Большинство из них располагалось на территории Польши и США.
Рост количества ботов, попавшихся на уловку
Версии ОС зараженных компьютеров
Географическое распределение зараженных компьютеров
В сентябре 2011 года ЛК в сотрудничестве с SurfNET, Kyrus Tech и подразделением Digital Crimes Unit (DCU) компании Microsoft прекратила деятельность предыдущей версии ботнета Hlux/Kelihos, перенаправив инфицированные компьютеры на подконтрольный хост. Операция по обезвреживанию сети ботов проходила под кодовым названием Operation b79. К сожалению, по прошествии нескольких месяцев специалисты ЛК обнаружили значительно более модифицированную версию вредоносного ПО, способную инфицировать флэш-накопители и осуществлять несанкционированный доступ к электронным кошелькам. Она и получила общепринятое название Kelihos.В.
В отличие от своих коллег из ЛК специалисты компании Seculert не столь оптимистичны. Судя по сообщению в ее официальном блоге, Kelihos.В по-прежнему продолжает распространяться по сети Facebook, инфицировать новые ПК и активно рассылать спам. Некоторые эксперты склонны объяснять это появлением еще одной версии Kelihos.С, однако Seculert не разделяет данную точку зрения. Кстати, с момента появления Kelihos эксперты Seculert насчитали свыше 70 тыс. зараженных акаунтов Facebook.